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Europos duomenų apsaugos valdyba, 


atsižvelgdama į 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679/ES 
dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo 
panaikinama Direktyva 95/46/EB, 70 straipsnio 1 dalies e punktą, 


PRIĖMĖ ŠIAS GAIRES 


1 I DALIS. ĮVADAS 


11 Bendra informacija 


Pagal Europos Sąjungos pagrindinių teisių chartijos 8 straipsnį asmens duomenys turi būti tinkamai 
tvarkomi ir naudojami tik konkretiems tikslams ir tik įstatymo nustatytais teisėtais pagrindais. Šiuo 
atžvilgiu Bendrojo duomenų apsaugos reglamento! 6 straipsnio 1 dalyje nurodyta, kad duomenų 
tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš 6 straipsnio 1 dalies a-f punktuose 
nustatytų šešių sąlygų. Nustatyti tinkamą teisinį pagrindą, atitinkantį duomenų tvarkymo tikslą ir 
esmę, - itin svarbu. Nustatydami tinkamą teisėtą pagrindą, kuriuo remiantis būtų užtikrintas 
sąžiningumo principo paisymas, duomenų valdytojai turėtų, inter alia, atsižvelgti į poveikį duomenų 
subjekto teisėms. 


Bendrojo duomenų apsaugos reglamento 6 straipsnio 1 dalies b punkte nurodytas teisėtas asmens 
duomenų tvarkymo pagrindas, susijęs su tuo, kad „tvarkyti duomenis būtina siekiant įvykdyti sutartį, 
kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš 
sudarant sutartį“. Tuo palaikoma laisvė užsiimti verslu, užtikrinama Chartijos 16 straipsniu, ir 
atspindima tai, kad kartais sutartiniai įsipareigojimai, prisiimti duomenų subjektui, negali būti įvykdyti, 
jeigu duomenų subjektas nepateikia tam tikrų asmens duomenų. Jeigu konkretus duomenų tvarkymas 
yra neatsiejamas nuo prašomo paslaugos suteikimo, abi šalys yra suinteresuotos tvarkyti tuos 
duomenis, nes kitaip nebūtų galima suteikti paslaugos ir įvykdyti sutarties. Tačiau net esant galimybei 
remtis šiuo arba vienu iš kitų teisinių pagrindų, nurodytų 6 straipsnio 1 dalyje, duomenų valdytojas 
nėra atleidžiamas nuo kitų Bendrojo duomenų apsaugos reglamento reikalavimų laikymosi. 


Sutarties dėl Europos Sąjungos veikimo 56 ir 57 straipsniuose apibrėžiama ir reglamentuojama laisvė 
teikti paslaugas Europos Sąjungoje. Buvo priimti konkretūs ES teisės aktai, susiję su „informacinės 
visuomenės paslaugomis“?. Šios paslaugos apibrėžiamos taip: „bet kuri informacinės visuomenės 
paslauga, t. y. paprastai už atlyginimą per atstumą, elektroninėmis priemonėmis ir asmenišku paslaugų 
gavėjo prašymu teikiama paslauga“. Ši apibrėžtis apima ir paslaugas, už kurias jas gaunantys asmenys 
nemoka tiesiogiai“, pvz., tai būtų internetinės paslaugos, finansuojamos per reklamą. Šiose gairėse 
vartojama sąvoka „internetinės paslaugos“ reiškia ir sąvoką „informacinės visuomenės paslaugos“. 


12016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens 
duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos 
reglamentas). 

2 Taip pat žr. 44 konstatuojamąją dalį. 

3 Žr., pvz., Europos Parlamento ir Tarybos direktyvą (ES) 2015/1535, taip pat Bendrojo duomenų apsaugos reglamento 8 straipsnį. 
4 Žr. 2000 m. birželio 8 d. Europos Parlamento ir Tarybos direktyvos 2000/31/EB dėl kai kurių informacinės visuomenės paslaugų, 
ypač elektroninės komercijos, teisinių aspektų vidaus rinkoje 18 konstatuojamąją dalį. 


10. 


Iš ES teisės raidos matyti, kad šiuolaikinėje visuomenėje internetinėms paslaugoms teikiama daug 
svarbos. Visada pasiekiamo mobiliojo interneto paplitimas ir platus prie interneto jungiamų prietaisų 
pasiekiamumas nulėmė tai, kad internetines paslaugas imta plėtoti tokiose srityse kaip socialinės 
medijos, elektroninė prekyba, paieška internete, komunikacija ir kelionės. Dalis tų paslaugų yra 
finansuojama naudotojų įmokomis, bet esama ir paslaugų, už kurias vartotojas pinigų nemoka, nes jos 
finansuojamos parduodant internetinę reklamą ir suteikiant galimybę tikslingai pasiekti duomenų 
subjektus. Naudotojo elgesio sekimas tokios reklamos tikslais dažnai vykdomas taip, kad naudotojas 
dažnai apie tai nežino", o iš teikiamos paslaugos pobūdžio tai gali nebūti tiesiogiai aišku, taigi duomenų 
subjektas praktiškai beveik neturi galimybės remdamasis pakankama informacija rinktis, kaip jo 
duomenys bus naudojami. 


Atsižvelgdama į tai Europos duomenų apsaugos valdyba“ (EDAV) mano, jog derėtų pateikti 6 straipsnio 
1 dalies b punkto taikymo asmens duomenų tvarkymui, kai duomenų subjektams teikiamos 
internetinės paslaugos, gaires, siekiant užtikrinti, kad šiuo teisėtu pagrindu būtų remiamasi tik tada, 
kai tai tinkama. 


Darbo grupė asmenų apsaugai tvarkant asmens duomenis (toliau - 29 straipsnio darbo grupė) savo 
nuomonėje dėl duomenų valdytojo teisėtų interesų sampratos anksčiau jau yra išdėsčiusi savo požiūrį 
į pagrindą, susijusį su tuo, kad duomenis tvarkyti reikia vykdant sutartį, kaip nustatyta Direktyvoje 
95/46/EB'. Iš esmės tos gairės tebėra aktualios taikant 6 straipsnio 1 dalies punktą ir Bendrąjį 
duomenų apsaugos reglamentą. 


1.2 Šių gairių taikymo sritis 


Šios gairės yra susijusios su galimybe 6 straipsnio 1 dalies b punktą taikyti tvarkant asmens duomenis, 
kai vykdomos sutartys dėl internetinių paslaugų, neatsižvelgiant į tai, kaip tos paslaugos 
finansuojamos. Gairėse bus aprašyti teisėto tvarkymo pagal Bendrojo duomenų apsaugos reglamento 
6 straipsnio 1 dalies b punktą elementai ir nagrinėjama sąvoka „būtinumas“, kai turima omenyje 
„būtina siekiant įvykdyti sutartį“. 


Duomenų apsaugos taisyklėmis reglamentuojami svarbūs aspektai, susiję su tuo, kaip palaikoma 
internetinių paslaugų ir jų naudotojų sąveika, tačiau taikomos ir kitos taisyklės. Internetinių paslaugų 
reguliavimas apima ir daugiafunkcę atsakomybę, inter alia, vartotojų apsaugos teisės ir konkurencijos 
teisės srityse. Šiose gairėse tos teisės sritys nenagrinėjamos. 


Nors 6 straipsnio 1 dalies b punktas gali būti taikomas tik su sutartimis susijusiomis aplinkybėmis, šiose 
gairėse neaptariamas bendras sutarčių galiojimas teikiant internetines paslaugas, nes tai nepatenka į 
EDAV kompetencijos sritį. Vis dėlto, sutartys ir sutarčių sąlygos turi atitikti sutarčių teisės reikalavimus, 
o kai tai yra vartojimo sutartys, — vartotojų apsaugos teisės reikalavimus, kad duomenų tvarkymas 
laikantis tų sąlygų būtų laikomas sąžiningu ir teisėtu. 


Toliau pateikta keletas bendrųjų pastabų dėl duomenų apsaugos principų, bet ne visi duomenų 
apsaugos klausimai, galintys kilti duomenis tvarkant pagal 6 straipsnio 1 dalies b punktą, bus išsamiai 
nagrinėjami. Duomenų valdytojai turi visada užtikrinti, kad būtų laikomasi 5 straipsnyje nustatytų 


5 Šiuo atžvilgiu duomenų valdytojai turi vykdyti skaidrumo prievoles, nustatytas Bendrajame duomenų apsaugos reglamente. 
6 Įsteigta pagal Bendrojo duomenų apsaugos reglamento 68 straipsnį. 


729 straipsnio darbo grupės Nuomonė Nr. 06/2014 dėl duomenų valdytojo teisėtų interesų sampratos pagal Direktyvos 95/46/EB 


7 straipsnį (WP217). Visų pirma žr. 11, 16, 17, 18 ir 55 puslapius. 


11. 


12. 


13. 


14. 


15. 


16. 


duomenų apsaugos principų, taip pat visų kitų Bendrojo duomenų apsaugos reglamento ir, kai 
taikytina, privatumo internete teisės aktų reikalavimų. 


2 2 DALIS. 6 STRAIPSNIO 1 DALIES B PUNKTO ANALIZĖ 


2.1 Bendrosios pastabos 


Duomenų tvarkymo teisėtą pagrindą pagal 6 straipsnio 1 dalies b punktą reikia nagrinėti atsižvelgiant 
į visą Bendrąjį duomenų apsaugos reglamentą, 1 straipsnyje nustatytus tikslus ir kartu atsižvelgiant į 
duomenų valdytojų pareigą asmens duomenis tvarkyti laikantis 5 straipsnyje nustatytų duomenų 
apsaugos principų. Tai apima sąžiningą ir skaidrų asmens duomenų tvarkymą, taip pat tikslų apribojimo 
ir duomenų kiekio mažinimo prievolių vykdymą. 


Bendrojo duomenų apsaugos reglamento 5 straipsnio 1 dalies a punkte nustatyta, kad asmens 
duomenys duomenų subjekto atžvilgiu turi būti tvarkomi teisėtu, sąžiningu ir skaidriu būdu. 
Sąžiningumo principas apima, inter alia, duomenų subjektų pagrįstų lūkesčių pripažinimą?, turint 
omenyje galimus neigiamus duomenų tvarkymo padarinius jiems, taip pat atsižvelgiant į duomenų 
subjektų ir duomenų valdytojo santykius bei galimą tų santykių nelygybės poveikį. 


Kaip minėta, kalbant apie teisėtumą, internetinių paslaugų sutartys privalo būti galiojančios pagal 
taikytiną sutarčių teisę. Svarbaus veiksnio pavyzdys galėtų būti tai, ar duomenų subjektas yra vaikas. 
Tokiu atveju (ir be to, kad turi būti laikomasi Bendrojo duomenų apsaugos reglamento reikalavimų, 
įskaitant ypatingą apsaugą, taikytiną vaikams)? duomenų valdytojas privalo užtikrinti, kad laikosi visų 
reikiamų nacionalinių įstatymų, susijusių su vaikų veiksnumu sudaryti sutartis. Be to, siekiant užtikrinti 
sąžiningumo ir teisėtumo principų laikymąsi, duomenų valdytojas turi laikytis ir kitų teisinių 
reikalavimų. Pavyzdžiui, vartojimo sutartims gali būti taikytina Direktyva 93/13/EEB dėl nesąžiningų 
sąlygų sutartyse su vartotojais (Nesąžiningų sutarčių sąlygų direktyva)??. 6 straipsnio 1 dalies b punktas 
neapsiriboja tik sutartimis, kurios reglamentuojamos EEE valstybės narės teisės aktais!!, 


Bendrojo duomenų apsaugos reglamento 5 straipsnio 1 dalies b punkte nustatytas tikslo apribojimo 
principas; jį taikant reikalaujama, kad asmens duomenys būtų renkami nustatytais, aiškiai apibrėžtais 
bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu. 


5 straipsnio 1 dalies c punkte nustatytas duomenų kiekio mažinimo principas, t. y. asmens duomenys 
turi būti tvarkomi tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi. Šiuo vertinimu papildomas 
būtinumo vertinimas pagal 6 straipsnio 1 dalies b-f punktus. 


Ir tikslo apribojimo principas, ir duomenų kiekio mažinimo principas itin aktualūs, kai sutartys 
sudaromos dėl internetinių paslaugų, nes dėl jų paprastai nesiderama individualiai. Dėl technologijų 


8 Tam tikri asmens duomenys, kaip tikimasi, yra privatūs arba gali būti tvarkomi tik tam tikrais būdais, ir duomenų tvarkymas 
neturėtų būti duomenų subjektui netikėtas. Bendrajame duomenų apsaugos reglamente sąvoka „pagrįsti lūkesčiai“, kiek tai 
susiję su 6 straipsnio 1 dalies f punktu ir 4 dalimi, konkrečiai minima 47 ir 50 konstatuojamosiose dalyse. 

9 Žr. 38 konstatuojamąją dalį; joje nurodyta, kad vaikams reikia ypatingos jų asmens duomenų apsaugos, nes jie gali 
nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, pasekmes ar apsaugos priemones ir savo teises. 

10 Sutarties sąlyga, dėl kurios nebuvo atskirai derėtasi, pagal Nesąžiningų sutarčių sąlygų direktyvą yra laikoma nesąžininga, 
„Jeigu pažeidžiant sąžiningumo reikalavimą dėl jos atsiranda ryškus neatitikimas tarp iš sutarties kylančių šalių teisių ir pareigų 
vartotojo nenaudai“. Bendrajame duomenų apsaugos reglamente reikalaujama vykdyti skaidrumo prievolę, o Nesąžiningų 
sutarčių sąlygų direktyvoje reikalaujama vartoti aiškią, suprantamą kalbą. Asmens duomenų tvarkymas remiantis tuo, kas 
Nesąžiningų sutarčių sąlygų direktyvoje laikoma nesąžiningomis sąlygomis, paprastai neatitiks Bendrojo duomenų apsaugos 
reglamento 5 straipsnio 1 dalies a punkte nustatyto reikalavimo, kad duomenys turi būti tvarkomi teisėtu ir sąžiningu būdu. 
11 Bendrasis duomenų apsaugos reglamentas taikomas tam tikriems duomenų valdytojams, įsisteigusiems ne EEE; žr. 
Bendrojo duomenų apsaugos reglamento 3 straipsnį. 


17. 


18. 


19. 


20. 


pažangos duomenų valdytojai turi galimybę lengvai rinkti ir tvarkyti daugiau asmens duomenų nei kada 
nors anksčiau. Dėl to labai rizikuojama, kad duomenų valdytojai gali stengtis į sutartis įtraukti 
bendrąsias duomenų tvarkymo sąlygas, kad galėtų rinkti ir naudoti kuo daugiau duomenų, tinkamai 
nenurodę, kokiais tikslais tai daro, ir neapsvarstę galimybės vykdyti duomenų kiekio mažinimo 
prievoles. 29 straipsnio darbo grupė anksčiau yra teigusi: 


Rinkimo tikslas turi būti nurodytas aiškiai ir konkrečiai: jis turi būti pakankamai išsamus, kad 
būtų galima nustatyti, kokios rūšies tvarkymas yra įtrauktas ir nėra įtrauktas į nurodytą tikslą, 
ir kad būtų galima įvertinti, ar laikomasi teisės aktų bei ar taikomos duomenų apsaugos 
priemonės. Dėl šių priežasčių tikslas, kuris yra neaiškus arba bendras, pvz., „naudotojų patirties 
gerinimui“, „rinkodaros tikslais“, „IT saugumo tikslais“ ar „būsimiems tyrimams“, be išsamios 
papildomos informacijos, paprastai neatitinka buvimo „konkrečiu“ tikslu kriterijų. * 


2.2 6straipsnio 1 dalies b punkto sąveika su kitais teisėtais duomenų tvarkymo 
pagrindais 


EDAV pripažįsta, kad, kai nelaikoma, kad tvarkyti duomenis „būtina siekiant įvykdyti sutartį“, t. y. kai 
prašoma paslauga gali būti suteikta konkrečiai netvarkant duomenų, gali būti taikomas ir kitas teisėtas 
pagrindas, jeigu tik įvykdomos visos reikiamos sąlygos. Visų pirma, tam tikromis aplinkybėmis gali būti 
tinkamiau kliautis laisvai duodamu sutikimu, kaip nurodyta 6 straipsnio 1 dalies a punkte. Kitais 
atvejais 6 straipsnio 1 dalies f punkte gali būti nurodytas tinkamesnis teisėtas duomenų tvarkymo 
pagrindas. Teisinis pagrindas turi būti nurodytas duomenų tvarkymo pradžioje, o duomenų subjektams 
pagal 13 ir 14 straipsnius teikiamoje informacijoje turi būti nurodytas teisinis pagrindas. 


Gali būti, kad konkrečios duomenų tvarkymo operacijos tikslą ir aplinkybes gali labiau atitikti kitas 
teisėtas pagrindas, o ne nurodytasis 6 straipsnio 1 dalies b punkte. Tinkamo teisėto pagrindo 
nustatymas neatsiejamas nuo sąžiningumo ir tikslo apribojimo principų”. 


29 straipsnio darbo grupės gairėse dėl sutikimo taip pat paaiškinta, kad jei „duomenų valdytojas siekia 
tvarkyti asmens duomenis, kurie yra iš tiesų būtini sutarčiai vykdyti, sutikimas tokiu atveju nėra 
tinkamas teisėtas duomenų tvarkymo pagrindas“. Atvirkščiai, EDAV mano, kad kai duomenų tvarkymas 
nėra iš tikrųjų būtinas siekiant įvykdyti sutartį, toks duomenų tvarkymas galimas, tik jeigu remiamasi 
kitu tinkamu teisiniu pagrindu*“. 


Duomenų valdytojai turi ne tik laikytis skaidrumo prievolių, bet ir turėtų užtikrinti, kad būtų išvengta 
bet kokios painiavos, susijusios su tuo, koks teisinis pagrindas taikomas. Tai itin svarbu, kai tinkamas 
teisinis pagrindas yra 6 straipsnio 1 dalies b punktas, o sutartį dėl internetinių paslaugų sudaro 
duomenų subjektai. Atsižvelgiant į aplinkybes, duomenų subjektai gali klaidingai susidaryti įspūdį, kad 
pasirašydami sutartį arba sutikdami su paslaugos sąlygomis duoda sutikimą pagal 6 straipsnio 1 dalies 
a punktą. Kartu, duomenų valdytojas gali klaidingai manyti, kad sutarties pasirašymas atitinka sutikimą, 
nurodytą 6 straipsnio 1 dalies a punkte. Tai visiškai skirtingos sąvokos. Svarbu atskirti sutikimą su 
paslaugos sąlygomis siekiant sudaryti sutartį ir 6 straipsnio 1 dalies a punkte nurodytą sutikimo 
davimą, nes šios sąvokos yra susijusios su skirtingais reikalavimais ir teisiniais padariniais. 





12 29 straipsnio darbo grupės Nuomonė Nr. 03/2013 dėl tikslo ribojimo (WP203), p. 15-16. 

13 Kai duomenų valdytojai mėgina tinkamą teisinį pagrindą nustatyti laikydamiesi sąžiningumo principo, tai pasiekti bus sunku, 
jeigu pirmiausia jie aiškiai nenurodys duomenų tvarkymo tikslo arba jeigu asmens duomenų tvarkymas apims daugiau nei 
būtina nurodytais tikslais. 

14 Daugiau informacijos apie poveikį, susijusį su 9 straipsniu, galima rasti 29 straipsnio darbo grupės gairėse dėl sutikimo pagal 
Reglamentą 2016/679 (WP259), patvirtintose EDAV, p. 19-20. 


21. 


22. 


23. 


24. 


25. 


Kalbant apie specialių kategorijų asmens duomenų tvarkymą, gairėse dėl sutikimo 29 straipsnio darbo 
grupė atkreipė dėmesį, kad: 


Atvejai, kai tvarkyti duomenis „būtina siekiant įvykdyti sutartį“, 9 straipsnio 2 dalyje nėra 
pripažinti bendrojo draudimo tvarkyti specialių kategorijų duomenis išimtimi, todėl susiklosčius 
tokiai situacijai duomenų valdytojai ir valstybės narės turėtų ištirti galimybę taikyti konkrečias 
9 straipsnio 2 dalies b-j punktuose nustatytas išimtis. Jei netinka nė viena iš b-j punktų išimčių, 
vienintelė įmanoma teisėta išimtis, pagal kurią būtų galima tvarkyti tokius duomenis, yra 
aiškaus sutikimo gavimas pagal BDAR nustatytas galiojančio sutikimo sąlygas“. 


2.3 6straipsnio 1 dalies b punkto taikymo sritis 


6 straipsnio 1 dalies b punktas taikomas, kai įvykdyta viena iš dviejų sąlygų: tvarkyti konkrečius 
duomenis objektyviai būtina siekiant įvykdyti sutartį su duomenų subjektu arba siekiant imtis veiksmų 
duomenų subjekto prašymu prieš sudarant sutartį. 


2.4 Būtinumas 


Būtinumas tvarkyti duomenis yra būtina sąlyga renkantis abi 6 straipsnio 1 dalies b punkto galimybes. 
Iš pradžių svarbu atkreipti dėmesį, kad samprata, kas yra „būtina siekiant įvykdyti sutartį“, nėra 
paprasčiausiai vertinimas, kas yra leidžiama sutarties sąlygomis arba įrašyta į jas. Būtinumo sąvoka 
Europos Sąjungos teisėje turi savarankišką prasmę ir privalo atspindėti duomenų apsaugos teisės 
tikslus*?. Todėl tai taip pat susiję su atsižvelgimu į pagrindinę teisę į privatumą bei asmens duomenų 
apsaugą!", kartu tai susiję su duomenų apsaugos principų, visų pirma įskaitant sąžiningumo principą, 
reikalavimais. 


Pirmiausia reikia nustatyti duomenų tvarkymo tikslą, o esant sutartiniams santykiams duomenis gali 
reikėti tvarkyti įvairiais tikslais. Tie tikslai turi būti aiškiai nurodyti ir pranešti duomenų subjektui, 
vykdant duomenų valdytojui nustatytas tikslo apribojimo ir skaidrumo prievoles. 


Vertinimas, kas yra „būtina“, yra susijęs su bendru faktais pagrįstu duomenų tvarkymo vertinimu 
atsižvelgiant į siekiamą tikslą ir į tai, ar tuo mažiau ribojamas privatumas, palyginti su kitomis 
galimybėmis, kuriomis gali būti siekiama to paties tikslo'ž. Jeigu esama tikroviškų galimybių, kuriomis 
mažiau ribojamas privatumas, duomenų tvarkymas nėra „būtinas“??. 6 straipsnio 1 dalies b punktas 


15 29 straipsnio darbo grupės gairės dėl sutikimo pagal Reglamentą 2016/679 (WP259), patvirtintos EDAV, p. 19. 

16ES Teisingumo Teismas sprendime Huber nustatė, kad „tai yra autonomiška Bendrijos [būtinumo] sąvoka, kurią reikia aiškinti 
taip, kad ji visiškai atitiktų šios direktyvos [Direktyvos 95/46] tikslą, įtvirtintą jos 1 straipsnio 1 dalyje“. 2008 m. gruodžio 18 d. 
Teisingumo Teismo sprendimas Heinz Huber / Bundesrepublik Deutschland, C-524/06, p. 52. 

17 Žr. Europos Sąjungos pagrindinių teisių chartijos 7 ir 8 straipsnius. 

18 Žr. EDAPP priemonių rinkinį „Priemonių, kuriomis ribojama pagrindinį teisė į asmens duomenų apsaugą, būtinumo 
vertinimas“, p. 5. 

19 Sprendime Schecke ES Teisingumo Teismas nusprendė, kad aktų leidėjas, vertindamas asmens duomenų tvarkymo 
būtinumą, turėjo atsižvelgti į alternatyvias priemones, kuriomis būtų mažiau ribojamas privatumas. Teisingumo Teismo 
sprendimas, Volker und Markus Schecke GbR ir Hartmut Eifert / Land Hessen, sujungtos bylos C-92/09 ir C-93/09, 2010 m. 
lapkričio mėn. Teisingumo Teismas tai pakartojo sprendime Rigas - jame nurodė, kad „[dlėl sąlygos, susijusios su būtinybė 
tvarkyti duomenis, primintina, kad nukrypimai nuo asmens duomenų apsaugos ir jos apribojimai neturi viršyti to, kas griežtai 
būtina“. Teisingumo Teismo sprendimas Valsts policijas Rigas reģiona pārvaldes Kārtības policijas pārvalde / Rigas 
pašvaldības SIA ‘Rīgas satiksme’, C-13/16, p. 30. Kai tvarkant asmens duomenis siekiama taikyti bet kokį teisių į privatumą ir 
duomenų apsaugą apribojimą, reikalaujama atlikti griežtą būtiną testą; žr. EDAPP priemonių rinkinį „Priemonių, kuriomis 
ribojama pagrindinį teisė į asmens duomenų apsaugą, būtinumo vertinimas“, p. 7. 


26. 


27. 


28. 


29. 


30. 


nebus taikomas duomenų tvarkymui, kuris naudingas, bet, objektyviai vertinant, nėra būtinas sutartyje 
nurodytai paslaugai teikti arba siekiant iki sutarties sudarymo duomenų subjekto prašymu imtis 
tinkamų veiksmų, net jeigu toks tvarkymas būtinas dėl kitų duomenų valdytojo verslo tikslų. 


2.5 Būtina siekiant įvykdyti sutartį su duomenų subjektu 


Duomenų valdytojas, tvarkydamas asmens duomenis, gali remtis 6 straipsnio 1 dalies b punkto pirmąja 
galimybe, kai, kartu vykdydamas savo atskaitomybės prievoles pagal 5 straipsnio 2 dalį, gali nustatyti, 
kad duomenys tvarkomi vykdant galiojančią sutartį su duomenų subjektu ir duomenų tvarkymas yra 
būtinas, kad būtų galima įvykdyti konkrečią sutartį su duomenų subjektu. Kai duomenų valdytojai 
negali įrodyti, kad a) sutartis yra, b) sutartis yra galiojanti pagal taikytiną nacionalinės sutarčių teisės 
aktus ir c) duomenų tvarkymas yra objektyviai būtinas siekiant įvykdyti sutartį, duomenų valdytojas 
turėtų svarstyti galimybę duomenų tvarkymą grįsti kitu teisiniu pagrindu. 


Vien nurodyti arba paminėti duomenų tvarkymą sutartyje neužtenka, kad tam duomenų tvarkymui 
būtų galima taikyti 6 straipsnio 1 dalies b punktą. Kita vertus, tvarkyti duomenis gali būti objektyviai 
būtinai, net jeigu sutartyje tai konkrečiai nenurodyta. Bet kuriuo atveju, duomenų valdytojas turi 
vykdyti savo skaidrumo prievoles. Kai duomenų valdytojas siekia nustatyti, kad duomenų tvarkymas 
yra grindžiamas sutarties su duomenų subjektu įvykdymu, svarbu įvertinti, kas yra objektyviai būtina 
siekiant įvykdyti sutartį. Kad būtų „būtina siekiant įvykdyti sutartį“, tikrai reikia daugiau nei tik sutarties 
sąlygos. Tai taip pat aišku atsižvelgiant į 7 straipsnio 4 dalį. Nors ši nuostata yra susijusi tik su sutikimo 
galiojimu, ja aiškiai parodomas skirtumas tarp duomenų tvarkymo veiklos, būtinos siekiant įvykdyti 
sutartį, ir sąlygų, dėl kurių paslaugos teikimas priklauso nuo to, ar bus vykdoma tam tikra duomenų 
tvarkymo veikla, kuri iš tikrųjų nėra būtina siekiant įvykdyti sutartį. 


Šiuo atžvilgiu EDAV patvirtina 29 straipsnio darbo grupės anksčiau priimtą gairę dėl lygiavertės 
nuostatos pagal ankstesnę direktyvą, kad tai, jog nuostata „tvarkyti reikia vykdant sutartį, kurią 
duomenų subjektas yra sudaręs“: 


<...> turi būti suprantama siaurai, ji netaikoma tais atvejais, kai tvarkyti duomenų subjekto 
duomenis nėra iš tiesų būtina vykdant sutartį, tačiau duomenų valdytojas vis tiek vienašališkai 
tai daro. Vien tai, kad tvarkyti kai kuriuos duomenis numatyta sutartyje, taip pat ne visada 
reiškia, kad juos tvarkyti būtina vykdant sutartį. <...> Net jeigu ši duomenų tvarkymo veikla 
konkrečiai minima smulkiu šriftu užrašytose sutarties nuostatose, tai dar nereiškia, kad ji yra 
„būtina“ sutarčiai vykdyti?". 


EDAV taip pat primena tą pačią 29 straipsnio darbo grupės gairę: 


Šiuo atveju duomenų tvarkymo būtinumo vertinimas yra aiškiai susijes su tikslų apribojimo 
principo laikymusi. Svarbu tiksliai nustatyti sutarties sudarymo loginį pagrindą, t. y. jos esmę ir 
pagrindinį tikslą, nes pagal tai bus tikrinama, ar duomenis tvarkyti būtina vykdant sutartį?:. 


Vertinant, ar 6 straipsnio 1 dalies b punktas yra tinkamas teisinis duomenų tvarkymo pagrindas, kai 
pagal sutartį teikiama internetinė paslauga, reikėtų atsižvelgti į konkretų paslaugos siekį, tikslą arba 
uždavinį. Kad būtų galima taikyti 6 straipsnio 1 dalies b punktą, duomenų tvarkymas turi būti 
objektyviai būtinas siekiant tikslo, kuris neatskiriamas nuo tos sutartimi nustatytos paslaugos teikimo 


20 29 straipsnio darbo grupės Nuomonė Nr. 06/2014 dėl duomenų valdytojo teisėtų interesų sampratos pagal Direktyvos 
95/46/EB 7 straipsnį (WP217), p. 16-17. 
21 Ten pat, p. 17. 
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duomenų subjektui. Neišskiriamas ir mokėjimo duomenų tvarkymas siekiant imti mokestį už paslaugą. 
Duomenų valdytojas turėtų gebėti parodyti, kaip konkrečios sutarties su duomenų subjektu pagrindinis 
dalykas negali iš tikrųjų būti įvykdytas, jeigu nevykdomas konkretus aptariamų asmens duomenų 
tvarkymas. Šiuo atveju svarbus yra asmens duomenų ir atitinkamų duomenų tvarkymo operacijų, taip 
pat sutartimi nustatytos paslaugos įvykdymo arba nejįvykdymo ryšys. 


Sutartyse dėl skaitmeninių paslaugų gali būti aiškios nuostatos, kuriomis nustatomos su, be kita ko, 
reklama, mokėjimu arba slapukais susijusios papildomos sąlygos. Sutartimi negali būti dirbtinai 
išplėstos asmens duomenų kategorijos arba duomenų tvarkymo operacijos, kurią duomenų valdytojas 
pagal 6 straipsnio 1 dalies b punktą turi vykdyti, kad įvykdytų sutartį, rūšys. 


Duomenų valdytojas turėtų gebėti pagrįsti duomenų tvarkymo būtinumą nurodydamas pagrindinį ir 
abiejų šalių suprantamą sutartimi nustatytą tikslą. Tai priklauso ne tik nuo duomenų valdytojo požiūrio, 
bet ir nuo duomenų subjekto pagrįsto požiūrio sudarant sutartį, taip pat nuo to, ar sutartį vis dėlto 
galima laikyti „įvykdyta“, jeigu aptariami duomenys netvarkomi. Nors duomenų valdytojas gali manyti, 
kad duomenis tvarkyti yra būtina siekiant sutarties tikslo, svarbu, kad jis atidžiai išnagrinėtų vidutinio 
duomenų subjekto požiūrį, siekiant užtikrinti, kad sutarties tikslas abiejų šalių tikrai būtų suprastas. 


Vertinant, ar 6 straipsnio 1 dalies b punktas yra taikytinas, gali būti naudinga užduoti šiuos klausimus: 
e Kokio pobūdžio paslauga teikiama duomenų subjektui? Kokios išskirtinės jos savybės? 
e Koks tikslus loginis sutarties pagrindas (t. y. esmė ir pagrindinis tikslas)? 
e Kokie yra sutarties esminiai elementai? 


e Koks yra abiejų sutarties šalių požiūris ir lūkesčiai? Kaip paslauga reklamuojama duomenų 
subjektui? Ar eilinis paslaugos naudotojas pagrįstai tikėtųsi, kad, atsižvelgus į paslaugos 
pobūdį, siekiant įvykdyti sutartį, kurios šalimi jis yra, bus vykdomas numatomas duomenų 
tvarkymas? 


Jeigu atliekant vertinimą, kas yra „būtina siekiant įvykdyti sutartį“, — jį būtina atlikti prieš pradedant 
tvarkyti duomenis — nustatoma, kad ketinamas duomenų tvarkymas apima daugiau nei objektyviai 
būtina siekiant įvykdyti sutartį, savaime dėl to toks būsimas tvarkymas netampa neteisėtu. Kaip jau 
minėta, 6 straipsnyje aiškiai nurodyta, kad, prieš pradedant tvarkyti duomenis, galbūt gali būti kitas 
teisėtas pagrindas??. 


Jeigu per visą paslaugos teikimo laiką atsiranda nauja technologija, dėl kurios keičiasi asmens duomenų 
tvarkymo būdas, arba paslauga kitaip evoliucionuoja, siekiant nustatyti, ar naujos arba pakeistos 
duomenų tvarkymo operacijos gali būti grindžiamos 6 straipsnio 1 dalies b punktu, pirmiau paminėtus 
kriterijus reikia iš naujo vertinti. 








1 pavyzdys 


Duomenų subjektas perka prekę iš mažmeninės prekybos internetu įmonės. Duomenų subjektas nori 
mokėti kredito kortele už prekes, kurios turi būti pristatytos jo namų adresu. Siekdama įvykdyti sutartį, 
mažmeninės prekybos įmonė mokėjimo tikslais turi tvarkyti duomenų subjekto duomenis, susijusius 
su kredito kortelės informacija ir sąskaitos siuntimo adresu, taip pat su duomenų subjekto namų 





22 Žr. 29 straipsnio darbo grupės gaires dėl sutikimo pagal Reglamentą 2016/679 (WP259), patvirtintos EDAV, p. 31; jose 
nurodyta: „[plagal BDAR negalima vieno teisėto pagrindo pakeisti kitu“. 
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adresu prekių pristatymui. Taigi, šiai duomenų tvarkymo veiklai taikytinas teisinis pagrindas gali būti 
6 straipsnio 1 dalies b punktas. 


Tačiau, jeigu klientas pasirinko siuntos pristatymą į atsiėmimo punktą, duomenų subjekto namų adreso 
duomenų tvarkyti nebereikia siekiant įvykdyti pirkimo sutartį. Bet kokiam duomenų subjekto 
duomenų, susijusių su jo adresu, tvarkymui šiomis aplinkybėmis reikės kito nei 6 straipsnio 1 dalies 
b punktas teisinio pagrindo. 











2 pavyzdys 


Ta pati mažmeninės prekybos internetu įmonė nori profiliuoti informaciją apie naudotojų skonį ir 
gyvensenos pasirinkimą pagal jų apsilankymą svetainėje. Pirkimo sutarties įvykdymas nepriklauso nuo 
to, ar tokia informacija bus profiliuojama. Net jeigu sutartyje konkrečiai nurodyta apie profiliavimą, 
vien tai dar nereiškia, kad tas profiliavimas yra „būtinas“ siekiant įvykdyti sutartį. Jeigu mažmeninės 
prekybos internetu įmonė nori vykdyti tokį profiliavimą, ji turi remtis kitu teisiniu pagrindu. 





Laikydamiesi sutarčių teisės ir, jeigu taikytina, vartojimo sutarčių teisės nuostatų duomenų valdytojai 
gali laisvai rinktis savo verslo, paslaugų ir sutarčių modelį. Tam tikrais atvejais duomenų valdytojas gali 
pageidauti kelias atskiras paslaugas, kurių esminis tikslas, bruožai arba loginis pagrindas skiriasi, arba 
tokių paslaugų dalis sugrupuoti vienoje sutartyje. Dėl to duomenų subjektai, galbūt suinteresuoti tik 
viena tų paslaugų, gali patekti į padėtį „naudokis nustatytomis sąlygomis arba išvis nesinaudok“. 


Duomenų apsaugos teisės požiūriu, duomenų valdytojai turi atsižvelgti į tai, kad numatoma duomenų 
tvarkymo veikla turi turėti tinkamą teisinį pagrindą. Kai sutartį sudaro kelios atskiros paslaugos, kurios 
pagrįstai gali būti teikiamos atskirai viena nuo kitos, arba tokių paslaugų dalys, kyla klausimas, kiek 
6 straipsnio 1 dalies b punktas gali būti laikomas teisiniu pagrindu. Galimybė taikyti 6 straipsnio 1 dalies 
b punktą turėtų būti vertinama atsižvelgiant į kiekvieną tą paslaugą atskirai, nustatant, kas yra 
objektyviai būtina siekiant suteikti kiekvieną atskirą paslaugą, kurios duomenų subjektas aiškiai prašė 
arba dėl kurios jis pasirašė sutartį. Iš šio vertinimo gali paaiškėti, kad tam tikra duomenų tvarkymo 
veikla nėra būtina teikiant pavienes paslaugas, kurių pageidauja duomenų subjektas, ir tų duomenų 
veikiau reikia duomenų valdytojo platesniam verslo modeliui. Tokiu atveju 6 straipsnio 1 dalies 
b punktas nebus tos veiklos teisinis pagrindas. Tačiau tokiam duomenų tvarkymui gali būti taikomas 
kitas teisinis pagrindas, pavyzdžiui, 6 straipsnio 1 dalies a arba f punktas, jeigu tik įvykdyti reikiami 
kriterijai. Todėl galimybės taikyti 6 straipsnio 1 dalies b punktą vertinimas nedaro poveikio sutarties 
arba paslaugų grupavimo teisėtumui. 


Kaip anksčiau nurodė 29 straipsnio darbo grupė, teisinis pagrindas taikomas tik tam, kas būtina siekiant 
įvykdyti sutartį?*. Taigi, tai nėra savaime taikoma visiems kitiems veiksmams, kurių imamasi dėl 
sutarties nesilaikymo arba dėl visų kitų su sutarties vykdymu susijusių incidentų. Tačiau, tam tikri 
veiksmai gali būti pagrįstai numatyti ir būtini esant įprastiems sutartiniams santykiams, pavyzdžiui, 
oficialių priminimų apie neapmokėtą sąskaitą, klaidų ištaisymą arba sutarties vykdymo vėlavimą 
siuntimas. 6 straipsnio 1 dalies b punktas gali būti taikomas asmens duomenų tvarkymui, kurio reikia 
dėl kitų tokių veiksmų. 





23 29 straipsnio darbo grupės Nuomonė Nr. 06/2014 dėl duomenų valdytojo teisėtų interesų sampratos pagal Direktyvos 
95/46/EB 7 straipsnį (WP217), p. 17-18. 
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3 pavyzdys 


Įmonė internete parduoda prekes. Klientas susisiekia su įmone, nes įsigytos prekės spalva skiriasi nuo 
spalvos, dėl kurios buvo susitarta. Kliento asmens duomenų tvarkymas šios klaidos ištaisymo tikslu gali 
[būti grindžiamas 6 straipsnio 1 dalies b punktu. 











Sutartyje numatyta garantija gali būti dalis sutarties vykdymo, taigi laikyti tam tikrus duomenis 
nurodytą laikymo laiką po to, kai gaunamos prekės, suteikiamos paslaugos ir sumokama, vykdant 
sutartj gali būtina garantijos tikslais. 


2.6 Sutarties nutraukimas 


Duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, turi identifikuoti tinkamą teisinj 
numatomos duomenų tvarkymo operacijos pagrindą. Kai tam tikra arba visa duomenų tvarkymo veikla 
yra grindžiama 6 straipsnio 1 dalies b punktu, duomenų valdytojas turėtų numatyti, kas bus, jeigu 
sutartis bus nutraukta““. 


Kai asmens duomenų tvarkymas yra grindžiamas 6 straipsnio 1 dalies b punktu, o sutartis visiškai 
nutraukiama, paprastai tokių duomenų tvarkymas nebebūtinas siekiant įvykdyti tą sutartį, taigi 
duomenų valdytojas turės nebetvarkyti duomenų. Duomenų subjektas savo asmens duomenis galėjo 
būti pateikęs dėl sutartinių santykių, pasitikėdamas, kad duomenys bus tvarkomi tik tiek, kiek tai yra 
būtina tų santykių dalis. Taigi, paprastai nesąžininga imti taikyti naują teisinį pagrindą, kai pirminio 
pagrindo nebelieka. 


Kai sutartis nutraukiama, dėl to gali tekti imtis tam tikrų administracinių veiksmų, pavyzdžiui, grąžinti 
prekes arba sumokėtą sumą. Toks su nutraukimu susijęs tvarkymas gali būti grindžiamas 6 straipsnio 1 
dalies b punktu. 


17 straipsnio 1 dalies a punkte nurodyta, kad asmens duomenys turi būti ištrinti, kai jie nebėra 
reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami. Tačiau tai netaikoma, jeigu duomenų 
tvarkymas yra būtinas tam tikrais konkrečiais tikslais, įskaitant teisinės prievolės vykdymą pagal 
17 straipsnio 3 dalies b punktą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus pagal 
17 straipsnio 3 dalies e punktą. Praktiškai, jeigu duomenų valdytojai mano, kad esama bendrojo 
poreikio įrašus saugoti teisiniais tikslais, imdamiesi tvarkyti duomenis jie turi nurodyti to teisinį 
pagrindą, jie taip pat iš pat pradžių turi aiškiai nurodyti, kaip ilgai po sutarties nutraukimo jie planuoja 
saugoti tuos įrašus tais teisiniais tikslais. Tai padarę jie neturi ištrinti duomenų, kai sutartis 
nutraukiama. 


Bet kuriuo atveju gali būti taip, kad pradedant tvarkyti duomenis buvo nustatytos kelios duomenų 
tvarkymo operacijos, turint atskirus tikslus ir taikant skirtingą teisinį pagrindą. Jeigu tos kitos duomenų 
tvarkymo operacijos tebėra teisėtos ir duomenų valdytojas, vykdydamas Bendrajame duomenų 
apsaugos reglamente nustatytas skaidrumo prievoles, apie tas operacijas aiškiai pranešė pradėdamas 
tvarkyti duomenis, nutraukus sutartį asmens duomenis apie duomenų subjektą bus toliau galima 
tvarkyti tais atskirais tikslais. 


24 Jeigu sutartis vėliau tampa negaliojanti, tai turės poveikį tolesnio duomenų tvarkymo teisėtumui (kaip suprantama iš 5 
straipsnio 1 dalies a punkto). Tačiau tai savaime nereiškia, kad 6 straipsnio 1 dalies b punktą pasirinkti teisiniu pagrindu buvo 
neteisinga. 
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45. 


46. 


47. 








4 pavyzdys 


Paslaugų internete teikėjas siūlo prenumeratos paslaugą, kurios galima atsisakyti bet kuriuo metu. 
Sudarius sutartį dėl paslaugos, duomenų valdytojas duomenų subjektui pateikia informaciją apie 
asmens duomenų tvarkymą. 


Duomenų valdytojas, inter alia, paaiškina, kad, kol sutartis galioja, jis duomenis apie naudojimąsi 
paslauga tvarkys sąskaitoms faktūroms išrašyti. Taikytinas pagrindas yra 6 straipsnio 1 dalies 
b punktas, nes duomenų tvarkymas sąskaitos faktūros išrašymo tikslais gali būti laikomas objektyviai 
būtinas siekiant įvykdyti sutartį. Tačiau kai sutartis nutraukiama ir tariama, kad nėra jokių dar 
neįvykdytų atitinkamų teisinių reikalavimų arba teisinės sąlygos saugoti duomenis, naudojimo istorija 
bus ištrinta. 


Be to, duomenų valdytojas duomenų subjektams praneša, kad jam nacionalinės teisės aktais yra 
nustatyta teisinė prievolė tam tikrus asmens duomenis apskaitos tikslais saugoti tam tikrą skaičių metų. 
Tinkamas teisinis pagrindas yra 6 straipsnio 1 dalies c punktas, ir duomenys bus saugomi, net jeigu 
sutartis bus nutraukta. 








2.7 Būtina siekiant imtis veiksmų prieš sudarant sutartį 


6 straipsnio 1 dalies b punkto antroji galimybė taikoma tada, kai tvarkyti duomenis reikia siekiant imtis 
veiksmų duomenų subjekto prašymu prieš sudarant sutartį. Ši nuostata atspindi tai, kad preliminarus 
asmens duomenų tvarkymas prieš sudarant sutartį gali būti būtinas siekiant palengvinti faktinį tos 
sutarties sudarymą. 


Tuo metu, kai duomenys tvarkomi, gali būti neaišku, ar sutartis tikrai bus sudaryta. Antra 6 straipsnio 
1 dalies b punkto galimybė vis tiek gali būti taikoma, jeigu duomenų subjektas pateikia prašymą 
aplinkybėmis, kurios potencialiai susijusios su sutarties sudarymu, o tokio duomenų tvarkymo reikia 
tam, kad būtų galima imtis prašomų veiksmų. Taigi, kai duomenų subjektas susisiekia su duomenų 
valdytoju siekdamas gauti informacijos apie duomenų valdytojo paslaugų pasiūlymus, duomenų 
subjekto asmens duomenų tvarkymas atsakymo į užklausą tikslais gali būti grindžiamas 6 straipsnio 
1 dalies b punktu. 


Bet kuriuo atveju, ši nuostata nebūtų taikoma neužsakytai rinkodarai arba kitokiam duomenų 
tvarkymui, vykdomam tik duomenų valdytojo iniciatyva arba trečiosios šalies prašymu. 





5 pavyzdys 


Duomenų subjektas pateikia savo pašto kodą siekdamas sužinoti, ar konkretus paslaugų teikėjas vykdo 
veiklą toje teritorijoje. Tai pagal 6 straipsnio 1 dalies b punktą gali būti laikoma duomenų tvarkymu, 
būtinu duomenų subjekto prašymu siekiant imtis veiksmų prieš sudarant sutartį. 














6 pavyzdys 


Tam tikrais atvejais finansų įstaigoms nacionalinės teisės aktais yra nustatyta pareiga identifikuoti savo 
klientus. Vykdydamas tą pareigą bankas, prieš sudarydamas sutartį su duomenų subjektu, gali 
[paprašyti kliento pateikti tapatybę patvirtinančius dokumentus. | 
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48. 


49. 


50. 


51. 





[Tokiu atveju identifikavimas yra būtinas bankui vykdant teisinę prievolę, o ne imantis veiksmų | 
|duomenų subjekto prašymu. Todėl tinkamas teisinis pagrindas yra ne 6 straipsnio 1 dalies b punktas, 
[bet 6 straipsnio 1 dalies c punktas. 








3 3 DALIS. 6 STRAIPSNIO 1 DALIES B PUNKTO TAIKYMAS 
KONKREČIAIS ATVEJAIS 


3.1 Duomenų tvarkymas siekiant patobulinti paslaugą” 


Internetinių paslaugų teikėjai dažnai renka išsamią informaciją, kaip naudotojai naudojasi jų 
paslaugomis. Dauguma atvejų informacijos apie organizacinių parametrų, susijusių su paslauga arba 
naudotojų jsitraukimu, rinkimo negalima laikyti būtinu siekiant teikti paslaugą, nes paslauga gali būti 
teikiama ir netvarkant tokių asmens duomenų. Vis dėlto, paslaugų teikėjas gali turėti galimybę remtis 
alternatyviu teisėtu pagrindu tokiam duomenų tvarkymui pagrįsti, pavyzdžiui, pagrindu, susijusiu su 
teisėtais interesais arba sutikimu. 


EDAV nemano, kad 6 straipsnio 1 dalies b punktas apskritai būtų tinkamas teisėtas pagrindas, kuriuo 
būtų galima grįsti duomenų tvarkymą siekiant tobulinti paslaugą arba plėtoti naujas esamos paslaugos 
funkcijas. Dauguma atvejų naudotojas sudaro sutartį siekdamas gauti esamą paslaugą. Nors paslaugos 
tobulinimo ir keitimo galimybė gali būti įprastai įtraukta į sutarties sąlygas, toks duomenų tvarkymas 
paprastai negali būti laikomas objektyviai būtinu siekiant įvykdyti sutartį su naudotoju. 


3.2 Duomenų tvarkymas sukčiavimo prevencijos tikslais 


Kaip anksčiau yra nurodžiusi 29 straipsnio darbo grupė?®, duomenų tvarkymas sukčiavimo prevencijos 
tikslais gali būti susijęs su klientų stebėsena ir profiliavimu. EDAV nuomone, toks duomenų tvarkymas 
greičiausiai apims daugiau nei tai, kas objektyviai būtina siekiant įvykdyti sutartį su duomenų subjektu. 
Tačiau asmens duomenų tvarkymas, griežtai būtinas sukčiavimo prevencijos tikslais, gali būti teisėtas 
duomenų valdytojo interesas??, taigi gali būti galima jį laikyti teisėtu, jeigu duomenų valdytojas įvykdo 
konkrečius 6 straipsnio 1 dalies f punkto (teisėti interesai) reikalavimus. Be to, teisėtumo pagrindas 
tokiam duomenų tvarkymui pagrįsti gali būti ir 6 straipsnio 1 dalies c punktas (teisinė prievolė). 


3.3 Duomenų tvarkymas vartotojų elgesiu grindžiamos internetinės reklamos tikslais 


Vartotojų elgesiu grindžiamos internetinės reklamos ir su jomis susijęs duomenų subjektų sekimas bei 
profiliavimas dažnai naudojama internetinėms paslaugoms finansuoti. 29 straipsnio darbo grupė 
anksčiau yra pareiškusi savo požiūrį į tokį duomenų tvarkymą: 


[būtinumas siekiant įvykdyti sutartį] nėra tinkamas teisinis pagrindas naudotojo pomėgius ir 
gyvenseną apibūdinančiam „profiliui“ kurti remiantis jo spragtelėjimais pele naršant interneto 





25 Internetinių paslaugų teikėjams taip pat gali reikėti atsižvelgti į 2019 m. gegužės 20 d. Europos Parlamento ir Tarybos 
direktyvą (ES) 2019/770 dėl tam tikrų skaitmeninio turinio ir skaitmeninių paslaugų teikimo sutarčių aspektų (OL L 136, 
2019 05 22, p. 1); ji bus taikoma nuo 2022 m. sausio 1 d. 

26 29 straipsnio darbo grupės Nuomonė Nr. 06/2014 dėl duomenų valdytojo teisėtų interesų sampratos pagal Direktyvos 
95/46/EB 7 straipsnį (WP217), p. 17. 

27 Žr. 47 konstatuojamosios dalies šeštą sakinį. 
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52. 


53. 


54. 


55. 


56. 


svetainėje ir nupirktomis prekėmis, nes jo sutartis su duomenų valdytoju sudaryta ne tam, kad 
šis užsiimtų profiliavimu, o, pavyzdžiui, siekiant iš jo gauti konkrečias prekes ir paslaugas”. 


Paprastai, asmens duomenų tvarkymas vartotojų elgesiu grindžiamos internetinės reklamos tikslais 
nėra būtinas siekiant įvykdyti sutartį dėl internetinių paslaugų. Dažniausiai būtų sunku tvirtinti, kad 
sutartis nebuvo įvykdyta dėl to, kad nebuvo vartotojų elgesiu grindžiamos reklamos. Tai dar labiau 
patvirtinama tuo, kad duomenų subjektai turi absoliučią teisę pagal 21 straipsnį nesutikti, kad jų 
duomenys būtų tvarkomi tiesioginės rinkodaros tikslais. 


Be to, 6 straipsnio 1 dalies b punktas negali būti teisėtas vartotojų elgesiu grindžiamos internetinės 
reklamos pagrindas dėl to, kad tokia reklama netiesiogiai finansuojamas paslaugos teikimas. Nors taip 
tvarkant duomenis gali būti remiamas paslaugos teikimas, savaime to nepakanka siekiant nustatyti, 
kad tai būtina siekiant įvykdyti konkrečią sutartį. Duomenų valdytojas turėtų apsvarstyti galimybę 
remtis kitais veiksniais, nurodytais 33 punkte. 


Kadangi duomenų apsauga yra pagrindinė teisė, įtvirtinta Pagrindinių teisių chartijos 8 straipsniu, ir 
atsižvelgiant į tai, kad vienas pagrindinių Bendrojo duomenų apsaugos reglamento tikslų yra duomenų 
subjektams suteikti galimybę kontroliuoti su jais susijusią informaciją, asmens duomenys negali būti 
laikomi preke, kuria galima prekiauti. Net jei duomenų subjektas gali sutikti su asmens duomenų 
tvarkymu”, jis negali tuo susitarimu parduoti savo pagrindinių teisių”. 


EDAV taip pat atkreipia dėmesį, kad, laikantis privatumo internete reikalavimų, 29 straipsnio darbo 
grupės nuomonės dėl vartotojų elgesiu grindžiamos internetinės reklamos?! ir Darbo dokumento 
02/2013, kuriame pateikiamos rekomendacijos dėl sutikimo dėl slapukų??, duomenų valdytojai privalo 
gauti išankstinį duomenų subjektų sutikimą, kad būtų naudojami slapukai, būtini siekiant imtis 
vartotojų elgesiu grindžiamos reklamos. 


EDAV taip pat atkreipia dėmesį, kad naudotojų sekimas ir profiliavimas gali būti atliekamas siekiant 
nustatyti panašių savybių turinčių asmenų grupes, kad reklamą būtų galima tikslingai skirti panašiai 
auditorijai. Toks duomenų tvarkymas negali būti vykdomas pagrindu laikant 6 straipsnio 1 dalies 
b punktą, nes negalima pasakyti, kad siekiant įvykdyti sutartį su naudotoju yra objektyviai būtina sekti 
ir lyginti naudotojų savybes ir elgesį tikslais, susijusiais su reklama, skirta kitiems asmenims. 





28 29 straipsnio darbo grupės Nuomonė Nr. 06/2014 dėl duomenų valdytojo teisėtų interesų sampratos pagal Direktyvos 
95/46/EB 7 straipsnį (WP217), p. 17. 

29 Žr. 2019 m. gegužės 20 d. Europos Parlamento ir Tarybos direktyvą (ES) 2019/770 dėl tam tikrų skaitmeninio turinio ir 
skaitmeninių paslaugų teikimo sutarčių aspektų. 

30 Be to, kad asmens duomenų naudojimas reglamentuojamas Bendrajame duomenų apsaugos reglamente, yra ir daugiau 
priežasčių, dėl kurių asmens duomenų tvarkymas konceptualiai skiriasi nuo mokėjimo pinigais. Pavyzdžiui, pinigus galima 
suskaičiuoti, t. y. kainas galima palyginti konkurencingoje rinkoje, o mokėjimas pinigais paprastai gali būti atliekamas tik 
dalyvaujant duomenų subjektui. Be to, asmens duomenis vienu metu galima naudoti kelioms paslaugoms. Praradus galimybę 
kontroliuoti savo asmens duomenis, ta galimybė nebūtinai bus atgauta. 

3129 straipsnio darbo grupės nuomonė 2/2010 dėl vartotojų elgesiu grindžiamos internetinės reklamos (WP171). 

3229 straipsnio darbo grupės darbinis dokumentas 02/2013, kuriame pateikiamos rekomendacijos dėl sutikimo dėl slapukų 
(WP208). 

33 Žr. 29 straipsnio darbo grupės Automatizuoto atskirų sprendimų priėmimo ir profiliavimo pagal Reglamentą 2016/679 
gaires (WP251rev.01), patvirtintas EDAV, p. 13. 
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57. 


3.4 Duomenų tvarkymas individualaus turinio siūlymo tikslais?“ 


EDAV pripažįsta, kad individualaus turinio siūlymas gali (nors ne visada) būti neatsiejama ir laukiama 
tam tikrų internetinių paslaugų dalis, todėl tam tikrais atvejais tai gali būti laikoma būtina dalimi 
siekiant įvykdyti sutartį su paslaugos naudotoju. Ar tokį duomenų tvarkymą galima laikyti neatsiejamu 
internetinės paslaugos aspektu, priklausys nuo teikiamos paslaugos pobūdžio, vidutinio duomenų 
subjekto lūkesčių, atsižvelgiant ne tik į paslaugos teikimo sąlygas, bet ir į tai, kaip paslauga 
reklamuojama naudotojams, taip pat nuo to, ar tokia paslauga gali būti teikiama nesiūlant 
individualaus turinio. Kai individualaus turinio siūlymas nėra objektyviai būtinas pagrindinės sutarties 
tikslais, pavyzdžiui, kai individualus turinys siūlomas dėl to, kad siekiama padidinti naudotojo 
naudojimąsi paslauga, bet tai nėra neatsiejama naudojimosi paslauga dalis, duomenų valdytojai turėtų 
svarstyti galimybę taikyti alternatyvų teisėtą pagrindą, kai tai taikytina. 








7 pavyzdys 


Internetinėje viešbučių paieškos sistemoje stebimi ankstesni naudotojų užsakymai siekiant sukurti jų 
įprastų išlaidų profilį. Vėliau šis profilis naudojamas naudotojui teikiamuose paieškos rezultatuose 
rekomenduojant konkrečius viešbučius. Tokiu atveju naudotojo ankstesnio elgesio ir finansinių 
duomenų profiliavimas nebūtų objektyviai būtinas siekiant įvykdyti sutartį, t. y. teikti apgyvendinimo 
paslaugas remiantis konkrečiais naudotojo pateiktais paieškos kriterijais. Todėl 6 straipsnio 1 dalies 
b punktas nebūtų tinkamas šios duomenų tvarkymo veiklos pagrindas. 











8 pavyzdys 


Internetinėje prekyvietėje potencialūs pirkėjai gali ieškoti prekių ir jas pirkti. Prekyvietė, siekdama 
didinti interaktyvumą, nori teikti individualius prekių pasiūlymus pagal tai, kuriuos prekių sąrašus 
platformoje anksčiau peržiūrėjo potencialūs pirkėjai. Toks individualių prekių siūlymas nėra objektyviai 
būtinas siekiant suteikti prekyvietės paslaugas. Taigi, 6 straipsnio 1 dalies b punktas negali būti 
laikomas teisiniu tokio asmens duomenų tvarkymo pagrindu. 





34 Internetinių paslaugų teikėjams taip pat gali reikėti atsižvelgti į 2019 m. gegužės 20 d. Europos Parlamento ir Tarybos 
direktyvą (ES) 2019/770 dėl tam tikrų skaitmeninio turinio ir skaitmeninių paslaugų teikimo sutarčių aspektų (OL L 136, 
2019 05 22, p. 1); ji bus taikoma nuo 2022 m. sausio 1 d. 
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